Quali sono i pro (e contro) dell'utilizzo di "Accedi con Twitter / Facebook" per un nuovo sito Web? [chiuso]

Io e un amico stiamo cercando di lanciare un piccolo sito di forum. Sto pensando di utilizzare le API "Accedi con Facebook / Twitter", possibilmente esclusivamente (come ad esempio Lanyrd ), per l'accesso degli utenti. Non ho usato nessuno di questi prima, né eseguire un sito con accessi utente.

Quali sono i pro (e contro) di queste API? In particolare:

1. Quali vantaggi ottengo come sviluppatore dal loro utilizzo? Quali sono gli svantaggi?

2. Agli utenti finali piacciono / non amano davvero?

3. Hai riscontrato problemi tecnici / logistici con queste API in particolare?

Ecco i pro e i contro che ho finora:

Professionisti

• Più conveniente per l'utente ("registrati" con due clic, accedi con uno)
• Forse non è necessario mantenere il nostro sistema di accesso

 Contro

• Nessun controllo sulla nostra procedura di accesso
• Escludere gli utenti di Facebook / Twitter che sono preoccupati per noi che abbiamo una sorta di accesso ai loro account
• Gli account degli utenti sul nostro sito sono compromessi se i loro account Facebook / Twitter sono compromessi.
• E se non manteniamo il nostro sistema di accesso alternativo:
  • Dipendenza da Facebook / Twitter per il nostro sistema di accesso
  • Escludere utenti non Facebook / non Twitter dal nostro sito

Un truffatore direi che un utente potrebbe essere paranoico e che ora ha effettuato l'accesso al tuo sito utilizzando le proprie credenziali Facebook / Twitter e ritiene che il tuo sito abbia pieno accesso a tutte le sue informazioni su quei rispettivi account.

Per favore, non farlo.

Molte persone, specialmente quelle che non hanno sede negli Stati Uniti, non avranno un account Facebook e non ne creeranno uno ricordando tutto ciò che è stato detto in relazione a Facebook e alla sua ignoranza della privacy degli utenti.

Contrariamente a ciò in cui molti credono, ci sono molte persone che vivono felicemente senza quei rumori sociali e siti spazzatura e non gliene frega niente di loro.

Perché sputarli in faccia e respingerli solo perché non hanno ceduto all'isteria di massa chiamata Facebook?

Altri punti da considerare:

1. Introducerai un singolo punto di errore rendendolo dipendente da un sistema esterno. Se decidono di chiudere il loro OpenID o farti pagare per questo, sei massicciamente fregato.

2. Raccoglieranno dati sui tuoi utenti e su chi sa cosa farne. Per lo meno lo useranno a scopi di marketing e alla fine faranno soldi su di esso e non ti daranno un pezzo di torta.

3. Assumendoli come provider OpenID, sosterrai ulteriormente il loro quasi monopolio e li aiuterai a crescere ancora di più. Fai un servizio alla comunità e non contribuire a quella piaga.

Un altro svantaggio: escludere utenti non Facebook e non Twitter (o utenti che non si sentono al sicuro condividendo le informazioni di accesso ad altri siti). O causare loro inconvenienti facendoli creare un account esterno. Personalmente non mi piace l'idea del singolo punto di errore secondo cui se qualcuno ottiene le mie informazioni di accesso a Facebook / Twitter può accedere a qualsiasi altro sito che utilizza le stesse informazioni. Ma forse sono solo paranoico.

Vedo che viene utilizzato come opzione , ma perderesti molti potenziali visitatori se richiedessi un accesso FB o Twitter. Anche se i visitatori hanno account FB, molti non vogliono usarli per motivi di privacy. Non vorrei certo dare alcune informazioni di identificazione personale del sito casuale.

E probabilmente avrai comunque bisogno di una qualche forma di sistema di tracciamento degli utenti, poiché potresti voler tenere traccia delle informazioni degli utenti relative al tuo sito, come le preferenze.

Un sito che frequento ha il proprio sistema di accesso locale / account utente, ma gli utenti hanno la possibilità di collegare il proprio account a un account Facebook se lo desiderano. Quindi, per quelle persone hanno i vantaggi di un facile accesso se lo desiderano, e nessuno è costretto a utilizzare un accesso Facebook se non lo desidera. Funziona abbastanza bene, direi.

Ho giocato con OpenID, Facebook e Twitter per gli accessi. Una volta lo stavo provando e non ho potuto accedere tramite Facebook per qualche motivo. Dopo aver visto la pagina degli sviluppatori di Facebook, ho notato che il loro server API era inattivo. Quindi questo è un grosso svantaggio quando gli utenti non possono accedere perché Facebook ha dei tempi di inattività. Twitter potrebbe avere gli stessi problemi, come OpenID.

Dipende davvero dal tuo target di mercato. Ad esempio, in alcuni mercati target, la preoccupazione "escludere i non utenti" è minima (quasi tutti gli utenti li hanno e sono felici di condividerli). In altri, è un grosso problema.

Puoi vederlo qui nelle risposte: i programmatori tendono ad essere molto attenti alla sicurezza e non vogliono dare accesso, quindi tutto il "NO!" risposte :-p Le persone non tecniche sono meno attente al riguardo.

Ma la risposta ovvia è se puoi sia fb / twitter che il tuo sistema. Quindi tutti sono felici.

Ho un account Facebook ma di fronte a un sito che vuole che io acceda tramite esso, non lo faccio. Se esiste un metodo alternativo, lo userò. In caso contrario, non voglio davvero vedere cosa c'è su quel sito comunque. Odio andare sui siti e vedere cosa hanno fatto anche altri amici di Facebook su quel sito, è inquietante e invadente per la tua privacy (soprattutto quando non ho effettuato l'accesso tramite Facebook o non ho comunicato al sito il mio account Facebook).

Uno svantaggio di farlo in questo modo - come testare localmente senza complesse dipendenze esterne? Come si configurano account di prova casuali? Account demo? Account utente non umani? In genere è necessario uno schema di autenticazione locale per coprire queste permutazioni, anche se la speranza è che la maggior parte degli utenti memorizzi le credenziali esternamente.

La cosa più importante: se non disponi di una connessione Internet, non puoi nemmeno hackerare, tanto meno fare materiale sulla tua app. E, quando hai dei bug nell'autenticazione o nell'autorizzazione, come puoi essere sicuro che non sia un problema di Facebook / Twitter / altro oauth se non riesci a eseguire qualcosa di semplice e locale per assicurarti che il tuo codice sia corretto?

Direi che l'utilizzo di un sistema di accesso esterno può funzionare molto bene - guarda come OpenID ci ha usato su stackoverflow e stackexchange. Il vantaggio è grande: non è necessario codificare tutto il sistema di accesso, che è un grosso pezzo della base di codice iniziale che puoi semplicemente ignorare e non hai la possibilità di sbagliare, e può consentire a qualcun altro di preoccuparsi di quale tipo di password è sufficiente, come reimpostarla e così via. E se hanno già un openid da qualche parte (o da un account di blog o uno che hanno impostato per accedere allo stackoverflow), non devono ricordare un'altra combinazione nome utente / password.

Gli svantaggi sono che molti utenti lo trovano un po 'confuso e potrebbero non voler creare un openid su un sito esterno se non ne hanno già utilizzato uno.

L'uso di un account di accesso a Facebook offre tutti questi vantaggi, oltre alla possibilità di interfacciarsi con il proprio account Facebook se lo consentono.

Il rovescio della medaglia è che se fai affidamento esclusivamente su Facebook, ti ​​stai legando a loro: se Facebook dovesse mai cambiare la loro API o vietare il tuo sito o utenti come me si rifiutano di accedere a un sito che potrebbe condividere dati Facebook (che sono noto per non essere molto cauto quando si tratta di non divulgare tali dati ad altre società). Nota che IIRC, anche con un link "mi piace" o "login" di Facebook sulla tua pagina, consentirà a Facebook di tracciare gli utenti che hanno effettuato l'accesso e visualizzare il tuo sito, facendo doppio clic.

Quindi direi:

• idealmente, si consentirebbe l'accesso con diversi siti esterni: siti openID, facebook, google, ecc.
• se si dispone di un modulo di accesso a Facebook, non lo si inserisce nella prima pagina, ma lo si mostra solo quando gli utenti fanno clic su "Accedi con Facebook" (non mi lamenterò mai di avere la possibilità di farlo :)) .
• Per iniziare, decidi quale è il più veloce da configurare, account e password, o openID o qualcos'altro.
• Decidi se vale la pena aggiungere anche account e password, se hai un accesso esterno. (Assicurati di avere almeno un paio di accessi esterni)

Per lo meno, sono diffidente nei confronti dei headliner dei social media, e in particolare di Facebook per il loro disprezzo liberale per la condivisione elettiva delle informazioni. Questa sfiducia ha un fattore aggravante che la stragrande maggioranza delle app che ho incontrato richiede tutte le mie informazioni e quindi le informazioni su tutte le persone che conosco per partecipare al loro contesto di app. Sciocchezze. Le interviste per il nulla osta di sicurezza del governo richiedono molte informazioni come la maggior parte si aspetterebbe, ma non si avvicinano nemmeno a ciò che "FB" richiede. Ho un account, ma il suo magazzino, utilizzato solo per le funzionalità principali.

Detto questo, mi piace l'ID federato nel concetto e nella pratica (come openid e open auth in generale). Penso che l'utilizzo dei provider supportati dai principali provider di web mail sia difficile da discutere dal punto di vista dell'utente, per un paio di ragioni. Uno, evidenti vantaggi dell'ID federato (come meno coppie di informazioni di accesso da ricordare o altrimenti gestire con l'ennesima app o un componente aggiuntivo di archivio informazioni di accesso locale). In secondo luogo, mi fido del mio fornitore di posta elettronica di fare un buon lavoro nel proteggere le mie informazioni personali (e, di conseguenza, la mia posta in arrivo) fintanto che faccio la mia parte nel proteggere le mie credenziali (forza del nome utente / pass e controllo giudiziosamente l'esposizione).

Potrei prendere in considerazione altri provider di ID federati, ma dovrebbero essere convincenti, ai fini dell'ID federato.

Infine, integrare una moltitudine di fornitori non è necessariamente facile. Il team di stackexchange ha commentato le sfide qualche tempo fa. Se non fossi su un dispositivo mobile farei la ricerca per te.

Meh, a quanto pare sono in un altro campo. Per me, il concetto di Facebook è uno che resisterà alla prova del tempo. Forse non sarà Facebook in futuro, chissà. Tuttavia, andando oltre le preoccupazioni del teorico della cospirazione della privacy (puoi controllare la tua privacy), la mia opinione è che questo tipo di servizio diventerà "utilità". Quando raccogli il telefono per chiamare qualcuno, corri verso la tua casella di posta per prendere la posta ... "Facebook" i tuoi demoni si metteranno in contatto.

Stiamo già riscontrando una riduzione significativa del traffico e-mail ora che le persone si "Facebook" invece. È solo una questione di tempo, ma l'e-mail continuerà a diminuire nell'uso.

Inoltre, tieni presente che i tipi di persone che desideri siano collegati al tuo sistema potrebbero essere i tipi che avrebbero un account Facebook. Quelli che in genere non lo fanno (in base alla mia esperienza), non "parteciperanno" al tuo sito (o a qualsiasi altro sito, in realtà).

Il fatto è che, che si tratti di Facebook o meno, un sistema in cui tutti possono comunicare istantaneamente con le persone che approvano, sarà il miglior candidato per un sistema Internet "single sign on". Non puoi semplicemente ignorare "Registrazione in 2 clic e accesso senza clic / 1 clic" come piccoli professionisti, sono ENORMI!

Per le persone preoccupate per la privacy, cosa stai pubblicando sul tuo profilo Facebook che potrebbe essere dannoso se preso? Perché lo stai mettendo fuori?

Il mio voto (per quello che vale) vale per questo! Divertiti, sostituisci completamente il tuo sistema di appartenenza con un sistema solo per Facebook. L'ho fatto e ai miei utenti piace finora .